Hyppää sisältöön

Terveystietoja ilman asianmukaista suostumusta käsitelleelle yritykselle seuraamusmaksu

Julkaisuajankohta 11.1.2023 9.14
Tiedote

Yritys ei ollut pyytänyt palvelunsa käyttäjiltä yksilöityä suostumusta terveyteen liittyvien henkilötietotyyppien käsittelyyn. Tietosuojavaltuutetun toimisto määräsi yritykselle seuraamusmaksun tietosuoja-asetuksen rikkomisesta, sillä terveystietojen käsittely kuuluu yrityksen ydinliiketoimintaan. Lisäksi tietosuojavaltuutettu määräsi yrityksen korjaamaan käytäntönsä suostumuksen pyytämisessä.

Tietosuojavaltuutetun toimisto selvitti yrityksen toimintatapoja vuosina 2018–2019 saapuneiden kanteluiden perusteella. Selvityksissä ilmeni, että yrityksellä ei ollut EU:n yleisen tietosuoja-asetuksen mukaista suostumusta painoindeksiä ja maksimaalista hapenottokykyä koskevien tietojen käsittelyyn.

Terveystiedot kuuluvat niin sanottuihin erityisiin henkilötietoryhmiin ja niiden käsittely on lähtökohtaisesti kiellettyä. Tietoja voidaan käsitellä muun muassa silloin, kun rekisteröity on antanut siihen suostumuksensa. Yritys oli pyytänyt suostumuksen yleisesti terveyttä koskevien tietojen käsittelyyn, mutta ei ollut yksilöinyt tietoja, joita se keräsi ja käsitteli. Pyydetty suostumus ei täyttänyt tietosuoja-asetuksen vaatimuksia, sillä se ei ollut yksilöity ja tietoinen.

Tietosuojavaltuutettu katsoo, että rekisterinpitäjä oli kertonut rekisteröidyille siitä, että heitä koskevia henkilötietoja käsitellään, mutta ei kuitenkaan ollut antanut riittävästi tietoa käsiteltävien henkilötietojen tyypeistä ja siitä, mihin tarkoitukseen kutakin henkilötietotyyppiä käsitellään.  

Seuraamuskollegio kiinnitti erityistä huomiota siihen, että terveystietojen laajamittainen käsittely on keskeinen osa yrityksen ydinliiketoimintaa.

”Yrityksen, jonka liiketoimintaan kuuluu keskeisesti henkilötietojen käsittely, on aina huolehdittava tarkasti kaikista henkilötietojen asianmukaisen käsittelyn edellytyksistä. Dataintensiivisessä taloudessa tämän merkitys tulee koko ajan kasvamaan”, tietosuojavaltuutettu Anu Talus toteaa.

Asiaa käsiteltiin EU-maiden yhteistyössä

Yrityksen palvelu on saatavilla myös muissa EU- ja ETA-maissa, minkä vuoksi asiaa käsiteltiin valvontaviranomaisten välisessä yhteistyössä. Yksi kanteluista oli saatettu vireille toisessa jäsenvaltiossa.

Henkilötietojen käsittelystä vastaa yrityksen toimipaikka Suomessa, ja tietosuojavaltuutetun toimisto toimi selvityksessä johtavana valvontaviranomaisena. Osallistuvat valvontaviranomaiset ovat hyväksyneet tietosuojavaltuutetun ja seuraamuskollegion päätöksen, ja päätös sitoo myös niitä.

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi yritykselle tietosuojarikkomuksista 122 000 euron suuruisen seuraamusmaksun. Lisäksi yritykselle annettiin huomautus.

Päätökset eivät ole vielä lainvoimaisia ja niistä voi valittaa hallinto-oikeuteen.

Tietosuojavaltuutetun ja seuraamuskollegion päätökset (pdf)

Lisätietoja:

Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766

Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.

​​​​​​​Lisätietoja ns. yhden luukun mekanismista Euroopan tietosuojaneuvoston esitteessä (pdf)

Sivun alkuun